Back to Blog
Sanitized AI Team

Warum Ihre Richtlinie zur akzeptablen KI-Nutzung wahrscheinlich nicht funktioniert

Die meisten Organisationen haben irgendwann in den letzten 18 Monaten eine Richtlinie zur akzeptablen KI-Nutzung eingeführt. Die meisten davon funktionieren nicht, und der Grund dafür ist nicht das, was die Leute denken.

Es liegt nicht daran, dass die Mitarbeiter die Richtlinie nicht gelesen haben. Es liegt daran, dass die Richtlinie an einem Ort lebt, den der Mitarbeiter in dem Moment, in dem er sie tatsächlich benötigt, niemals besuchen wird.

Stellen Sie sich einen typischen Dienstagnachmittag vor. Eine Produktmanagerin bereitet sich auf ein Update für den Vorstand vor. Sie hat das Kundenfeedback von drei Wochen in einer Tabellenkalkulation, einschließlich Namen, E-Mails und ein paar unschmeichelhafter Zitate über einen Wettbewerber. Sie fügt das Ganze in ChatGPT ein und bittet um Themen. Die Antwort ist genau das, was sie brauchte. Sie geht wieder an ihre Arbeit.

Irgendwo im internen Wiki des Unternehmens gibt es eine Richtlinie, die besagt, dass sie das nicht hätte tun sollen. Sie weiß, dass sie existiert. Vielleicht hat sie sogar die Schulung absolviert. Aber die Richtlinie erreichte sie nicht an der Tastatur, um 14:47 Uhr, mit einer Deadline in 90 Minuten.

Die Lücke, für die niemand budgetiert

Dies ist die Lücke, die die meisten KI-Governance-Programme unterschätzen. Richtlinien werden für Momente des Nachdenkens geschrieben. Die KI-Nutzung findet in Momenten der Dringlichkeit statt. Die beiden kreuzen sich selten.

Ein paar Muster, die wir immer wieder sehen:

  • Die Richtlinie ist zu breit gefasst, um umsetzbar zu sein. "Geben Sie keine vertraulichen Informationen an KI-Tools weiter" klingt in einem Meeting klar. An der Tastatur wird vom Mitarbeiter verlangt, jedes Dokument, jeden Ausschnitt und jede Konversation in Echtzeit geistig zu klassifizieren. Die meisten Menschen tun das nicht, und diejenigen, die es versuchen, liegen oft falsch.
  • Die Richtlinie geht davon aus, dass Mitarbeiter wissen, was als riskant gilt. Die Grenze zwischen dem Vornamen eines Kunden und einem vollständigen PII-Datensatz eines Kunden sieht in einem Schulungsdeck offensichtlich aus. Innerhalb einer Produktspezifikation oder eines Support-Transkripts ist es eine Ermessensentscheidung, und Ermessensentscheidungen fallen unter Zeitdruck schnell.
  • Die Richtlinie behandelt KI wie ein einziges Tool. Das ist sie nicht. Sie ist mittlerweile in Browsern, IDEs, Notiz-Apps, CRMs und einer wachsenden Liste von SaaS-Produkten eingebettet, die im letzten Quartal still und leise eine "KI-Assistenten"-Funktion hinzugefügt haben. Eine Richtlinie, die ChatGPT und Gemini manuell benennt, verfehlt den größten Teil der tatsächlichen Angriffsfläche.

Die Kontrolle muss dorthin verlagert werden, wo das Risiko besteht

Die Lösung ist nicht eine weitere Aktualisierung der Richtlinien. Es geht darum zu erkennen, dass sich das Risiko von der Netzwerkgrenze auf den Moment der Eingabe verlagert hat, und dass die Kontrollen dorthin folgen müssen.

Die effektivsten Programme, die wir gesehen haben, koppeln ihre Richtlinie an etwas, das auf Tastendruckebene eingreift: eine Überprüfung, die lokal ausgeführt wird, bevor der Prompt das Gerät verlässt, und die dem Mitarbeiter eine schnelle Möglichkeit gibt, Inhalte zu schwärzen, zu anonymisieren oder zu überdenken. Keine Blockade. Kein Vortrag. Ein kleiner, gut getimter Anstoß, der die Richtlinie in etwas verwandelt, nach dem der Mitarbeiter tatsächlich handeln kann.

Das ist der Teil, der den meisten Governance-Programmen noch fehlt. Die Richtlinie ist in Ordnung. Die Ausbildung ist in Ordnung. Was fehlt, ist Präsenz, in dem Moment da zu sein, in dem die Entscheidung tatsächlich getroffen wird.